Řešení potíží s chybová zpráva "Nelze vytvořit kontext SSPI."

Překlady článku Překlady článku
ID článku: 811889 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Pochopení problému

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Tato část poskytuje obecné informace o Proč dojde k chybě "Nelze vytvořit kontext SSPI" a jak řešit chybu. Tato chybová zpráva se může zobrazit, pokud jsou splněny následující podmínky:
  • Připojujete se k serveru Microsoft SQL Server.
  • Používáte integrované zabezpečení.
  • Ověřování pomocí protokolu Kerberos se používá k provedení zabezpečení delegování.
Vysvětlení protokolu Kerberos terminologie a hlavní název služby
Ovladač serveru SQL Server v klientském počítači používá integrované zabezpečení pro token zabezpečení systému Windows pro uživatelský účet použít k úspěšnému připojení k počítači se systémem SQL Server. Token zabezpečení systému Windows je delegována z klientského počítače, který je spuštěn SQL Server. Ovladač serveru SQL Server provádí toto delegování při token zabezpečení uživatele je delegována z jednoho počítače do jiného pomocí jedné z následujících konfigurací:
  • NTLM přes pojmenované kanály (bez použití Security Support Provider Interface [SSPI])
  • NTLM prostřednictvím soketů TCP/IP pomocí SSPI
  • Ověřování pomocí protokolu Kerberos prostřednictvím soketů TCP/IP pomocí SSPI
Security Support Provider Interface (SSPI) je sada rozhraní API systému Windows umožňuje pro delegování a vzájemné ověřování přes všechny transportní vrstva obecná data, například soketů TCP/IP. Proto SSPI umožňuje počítači, který je spuštěn operační systém Windows bezpečně delegovat token zabezpečení uživatele z jednoho počítače do druhého přes transportní vrstvy, který může přenášet surového bajtů dat.

Po SSPI delegovat přes TCP/IP používá ověřování pomocí protokolu Kerberos a ověřování pomocí protokolu Kerberos nelze dokončit nezbytné operace úspěšně delegovat token zabezpečení uživatele v cílovém počítači, který je spuštěn SQL Server, bude generována chyba "Nelze vytvořit kontext SSPI".
Proč Security Support Provider Interface používá ověřování NTLM nebo Kerberos
Ověřování protokolem Kerberos používá identifikátor s názvem "Hlavní název služby" (SPN). Název SPN považovat za některé instance prostředku serveru domény nebo v doménové struktuře jedinečný identifikátor. Můžete nastavit název SPN pro webovou službu, SQL Server nebo služba SMTP. Může také obsahovat více instancí webové služby do stejného fyzického počítače, který má jedinečný název SPN.

Hlavní název služby pro SQL Server se skládá z následujících prvků:
  • ServiceClass: Určuje třídu obecné služby. To je alwaysMSSQLSvc pro SQL Server.
  • Host: to je plně kvalifikovaný název domény DNS počítače thatis, spuštěn SQL Server.
  • Port: Toto je číslo portu, který služba naslouchá.
Typické SPN pro počítač, který je spuštěn SQL Server je například takto:
MSSQLSvc/SQLSERVER1.northamerica.corp.mycompany.com:1433
Formát název SPN pro výchozí instance a název SPN pro pojmenované instance nejsou odlišné. Co spojuje SPN pro konkrétní instance je číslo portu.

Ovladač serveru SQL Server v klientském počítači používá integrované zabezpečení pro připojení k serveru SQL Server, pokusí se ovladač kódu na straně klienta řešení plně kvalifikovaný DNS počítače, který je spuštěn SQL Server pomocí síťové rozhraní API WinSock. Chcete-li provést tuto operaci, volá kód ovladače gethostbyname a gethostbyaddr rozhraní WinSock API. I v případě, že je předán IP adresu nebo hostitelský název jako název počítače, který je spuštěn SQL Server ovladač serveru SQL Server se pokusí vyřešit plně kvalifikovaný DNS počítače, pokud počítač používá integrované zabezpečení.

Pokud ovladač serveru SQL Server v klientském počítači přeloží plně kvalifikovaný DNS počítače, který je spuštěn SQL Server, odpovídající DNS slouží k vytvoření hlavní název služby pro tento počítač. Proto problémy o jak IP adresu nebo název hostitele je přeložen na plně kvalifikovaný DNS pomocí rozhraní WinSock může způsobit ovladač serveru SQL Server Chcete-li vytvořit platný název SPN pro počítač, který je spuštěn SQL Server.

Například neplatné názvy můžete tvořící ovladač klienta serveru SQL Server, jako jsou plně kvalifikovaný DNS přeložit takto:
  • MSSQLSvc / SQLSERVER1:1433
  • MSSQLSvc/123.123.123.123:1433
  • MSSQLSvc/SQLSERVER1.antartica.corp.mycompany.com:1433
  • MSSQLSvc/SQLSERVER1.dns.northamerica.corp.mycompany.com:1433
Pokud ovladač serveru SQL Server tvoří hlavní název služby, která není platná, ověřování stále funguje, protože rozhraní SSPI se pokusí vyhledat název SPN v adresáři služby Active Directory a nenalezne hlavní název služby. Pokud rozhraní SSPI nenalezne hlavní název služby, není prováděno ověřování pomocí protokolu Kerberos. V tomto okamžiku vrstvy rozhraní SSPI se přepne do režimu ověřování NTLM a přihlášení používá ověřování NTLM a obvykle úspěšná. Pokud ovladač serveru SQL Server tvoří hlavní název služby, který je platný, ale není přiřazen do vhodné nádoby, pokusí použít název SPN, ale nelze. To způsobí, že se zobrazí chybová zpráva "Nelze vytvořit kontext SSPI". Pokud spouštěcí účet serveru SQL Server je místní systémový účet, příslušného kontejneru je název počítače. Pro libovolný účet příslušného kontejneru je spouštěcí účet serveru SQL Server. Vzhledem k tomu, že ověřování, pokusí se použít SPN první, kterou najde, ujistěte se, že neexistují žádné názvy SPN přiřazen nesprávný kontejnery. Jinými slovy každá SPN musí být přiřazen pouze jeden kontejner.

Klíčovým faktorem, který umožňuje úspěšné ověřování pomocí protokolu Kerberos je platný funkce služby DNS v síti. Tato funkce na straně klienta a serveru můžete ověřit pomocí nástroje příkazového řádku Ping. V klientském počítači spusťte následující příkaz získat adresu IP serveru, na kterém běží SQL serveru (kde název počítače, který je spuštěn SQL Server SQLServer1):
příkaz ping sqlserver1
Chcete-li zjistit, zda nástroj Ping přeloží plně kvalifikovaný DNS SQLServer1, spusťte následující příkaz:
ping - a Adresa_ip
Například:
C:\>ping SQLSERVER1

Pinging SQLSERVER1 [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
	
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms
C:\>ping -a 123.123.123.123
	
Pinging SQLSERVER1.northamerica.corp.mycompany.com [123.123.123.123] with 32 bytes of data:
	
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Reply from 123.123.123.123: bytes=32 time<10ms TTL=128
Ping statistics for 123.123.123.123:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

C:\>
Pokud příkaz ping - a Adresa_ip Odstraňuje správný plně kvalifikovaný DNS počítače, který je spuštěn SQL Server, klientská řešení je také úspěšná.
Vytvoření SQL serveru hlavní název služby
To je jedna z důležitých částí ověřování pomocí protokolu Kerberos a interakci s SQL Server. Se serverem SQL Server lze spustit službu SQL Server pod jedním z následujících: účet LocalSystem, místní uživatelský účet nebo účet uživatele domény. Při spuštění instance služby SQL Server, pokusí se registrovat svůj název SPN ve službě Active Directory pomocí DsWriteAccountSpn rozhraní API volání. Pokud volání se nezdaří, je v prohlížeči událostí zaznamenána následující upozornění:

Zdroj: MSSQLServer Id_události: 19011 Popis: SuperSocket info: (SpnRegister): Chyba 8344.

Další informace o funkci DsWriteAccountSpn naleznete na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms676056.aspx
Zjednodušené vysvětlení
Pokud spustíte službu SQL Server pod účtem LocalSystem, je automaticky zaregistrován název SPN a ověřování pomocí protokolu Kerberos úspěšně spolupracuje s počítači, ve kterém je spuštěn SQL Server. Však při spuštění služby SQL Server pomocí účtu domény nebo místního účtu, chcete-li vytvořit hlavní název služby nezdaří ve většině případů vzhledem k tomu, že účet domény a místní účet právo nastavit své vlastní názvy SPN nemají. Při vytváření názvů SPN není úspěšné, to znamená žádné SPN nastavena pro počítač, který je spuštěn SQL Server. Pokud testujete pomocí účtu správce domény jako účet služby serveru SQL Server, název SPN úspěšně vytvořena, protože pověření na úrovni správce domény, které potřebujete k vytvoření hlavní název služby jsou k dispozici.

Počítač, který je spuštěn SQL Server pomocí účtu správce domény nemusí spustit službu SQL Server (aby se zabránilo ohrožení zabezpečení), nemůžete vytvořit svůj vlastní název SPN. Proto musí ručně vytvořit hlavní název služby pro počítač je spuštěn SQL Server, pokud chcete použít ověřování protokolem Kerberos, které připojíte k počítači se systémem SQL Server. To platí, pokud používáte SQL Server pod účtem uživatele domény nebo pomocí místního uživatelského účtu. Hlavní název služby, kterou vytvoříte, musí být přiřazen k účtu služby služby SQL Server na daném počítači. Kontejner počítače nelze přiřadit název SPN není-li počítači se systémem SQL Server spustí pomocí účtu místní systém. Musí být pouze jeden hlavní název služby a musí být přiřazena do vhodné nádoby. Obvykle je to aktuální účet služby serveru SQL Server, ale to je kontejner účet počítače pomocí účtu místní systém.
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Řešení problému

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Tato část popisuje kroky, aby bylo zajištěno, že počítač s žádnými problémy SSPI.

Ověření domény
Ověřte, zda domény, ke kterému přihlášení můžete komunikovat s doménou, do které patří počítač, který je spuštěn SQL Server. V doméně musí být také správný překlad.
  1. Ujistěte se, že můžete úspěšně přihlášení k systému Windows pomocí stejného účtu domény a heslo jako spouštěcí účet služby SQL Server. Například SSPI chybě může dojít v následujících situacích:
    • Uzamčení účtu domény.
    • Změny hesla účtu. Však nikdy restartujte službu SQL Server po heslo bylo změněno.
  2. Pokud vaše přihlašovací doména se liší od domény počítače, který je spuštěn SQL Server, ověřte vztah důvěryhodnosti mezi doménami.
  3. Zkontrolujte, zda jsou ve stejné doménové struktuře domény, ke které patří server a účet domény, který slouží k připojení. To je vyžadováno pro rozhraní SSPI pro práci.
  4. Použití účet je důvěryhodný pro delegování Active Directory Users a počítače při spuštění serveru SQL Server.

    Poznámka: "Účet je důvěryhodný pro delegování" právo je vyžadováno pouze při delegování pověření od cílového serveru SQL například scénář dvojímu směrování, například vzdáleném serveru SQL Server distribuovaných dotazů (dotazy propojený server), které používají ověřování systému Windows.
  5. Service Principal manipulovat s názvy účtů (SetSPN.exe) nástroje pro použití v sadě Windows 2000 Resource Kit. Účty správce domény systému Windows 2000 nebo Windows Server 2003 domény správce účtů mohou použít nástroj Řízení přiřazené služby a účet hlavní název služby. Pro SQL Server musí být název SPN pouze jeden. Hlavní název služby musí být přiřazena odpovídající kontejner, ve většině případů aktuální účet služby serveru SQL Server a účet počítače při spuštění serveru SQL Server pomocí účtu místní systém. Pokud spustíte SQL Server přihlášeni s účtem LocalSystem, SPN automaticky nastavit. Však pokud spustit SQL Server pomocí účtu domény, nebo když změníte účet, který slouží ke spuštění serveru SQL Server, je nutné spustit SetSPN.exe odebrat neplatné názvy SPN a poté je třeba přidat platný název SPN. Další informace naleznete v tématu "Zabezpečení účtu delegování" v SQL Server 2000 Books Online. Chcete-li to provést, přejděte na následující web společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa905162 (SQL.80).aspx
    Další informace o sadě Windows 2000 Resource Kit naleznete na následujícím webu společnosti Microsoft:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true
  6. Ověřte, že překlad probíhá správně. Překlad metody mohou zahrnovat služby DNS, WINS, soubory Hosts a Lmhosts. Další informace o problémy rozlišení názvu a Poradce při potížích klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    169790 Řešení základních potíží TCP/IP
  7. Další informace o odstraňování potíží s funkcemi usnadnění a firewall problémy se službou Active Directory získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    291382 Často kladené dotazy týkající se služby DNS systému Windows 2000 a Windows Server 2003
    224196 Omezení přenosu replikace služby Active Directory a přenosu služby RPC klienta na určitý port
Konfigurovat službu SQL Server dynamicky vytvářet SPN pro instance serveru SQL Server
Chcete-li konfigurovat službu SQL Server dynamicky vytvářet SPN, musíte změnit nastavení řízení přístupu na účet v adresářové službě Active Directory. Je nutné udělit oprávnění "Číst servicePrincipalName" a "Zápis servicePrincipalName" pro účet služby serveru SQL Server.

Upozornění: Pokud používáte modul snap-in služby rozhraní ADSI (Active Directory) úpravy, nástroj LDP nebo jakékoli jiné LDAP verze 3 klienty a nesprávně změníte atributy objektů služby Active Directory, můžete způsobit vážné problémy. Tyto problémy mohou vyžadovat přeinstalaci systému Windows Server 2003, Microsoft Windows 2000 Server, Microsoft Exchange Server 2003, Microsoft Exchange 2000 Server nebo Windows i Exchange. Nemůžeme zaručit, že potíže způsobené nesprávně změníte atributy objektů služby Active Directory může být vyřešen. Změna těchto atributů provádíte na vlastní nebezpečí.

Poznámka: Chcete-li udělit příslušná oprávnění a uživatelská práva pro spouštěcí účet serveru SQL Server, musíte být přihlášeni jako správce domény nebo musíte požádat správce domény k provedení tohoto úkolu.

Chcete-li konfigurovat službu SQL Server dynamicky vytvářet SPN, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ Adsiedit.msca potom klepněte na tlačítko OK.
  2. V modulu snap-in ADSI Edit, rozbalte domény [Název_domény], rozbalte položku DC =<b00> </b00> RootDomainName, rozbalte položku CN = uživatelé, klepněte pravým tlačítkem myši CN =<b00> </b00> Název účtua potom klepněte na příkaz Vlastnosti.

    Poznámky
    • Název_domény je zástupný symbol pro název domény.
    • RootDomainName je zástupný symbol pro název kořenové domény.
    • Název účtu je zástupný symbol pro účet, který zadáte při spuštění služby SQL Server.
    • Pokud určíte místní systémový účet, chcete-li spustit službu SQL Server Název účtu je zástupný symbol pro účet, který používáte k přihlášení k systému Windows.
    • Pokud určíte uživatelský účet domény, spusťte službu serveru SQL Server Název účtu je zástupný symbol pro účet uživatele domény.
  3. V CN =<b00> </b00> Název účtu Dialogové okno Vlastnosti klepněte na kartu zabezpečení .
  4. Na kartě zabezpečení klepněte na tlačítko Upřesnit.
  5. Ujistěte se, že SELF je uveden v části oprávněnív dialogovém okně Upřesnit nastavení zabezpečení .

    SELF , není v seznamu uveden, klepněte na tlačítko Přidata potom přidejte SELF.
  6. Ve skupinovém rámečku oprávněníklepněte na tlačítko vlastnía klepněte na tlačítko Upravit.
  7. V dialogovém okně Položka oprávnění klepněte na kartu Vlastnosti .
  8. Na kartě Vlastnosti v seznamu použít pro klepněte pouze tento objekt a ujistěte se, že jsou ve skupinovém rámečku oprávněnízaškrtnuto zaškrtávací políčka pro následující oprávnění:
    • Číst servicePrincipalName
    • Zápis servicePrincipalName
  9. Klepněte třikrát na tlačítko OK a potom ukončete modul snap-in pro úpravu rozhraní ADSI.
Chcete-li zobrazit nápovědu k tomuto procesu obraťte se na odbornou pomoc služby Active Directory a uvést tento článek znalostní báze Microsoft Knowledge Base.

Důležité Doporučujeme neudělujte WriteServicePrincipalName právo k účtu služby SQL, pokud jsou splněny následující podmínky:
  • Existuje více řadičů domény.
  • Je v clusteru serveru SQL Server.
V tomto případě mohou být odstraněny hlavní název služby pro SQL Server z důvodu zpoždění při replikaci služby Active Directory. To může způsobit problémy s připojením k instanci SQL Server.

Předpokládejme, že máte následující:
  • Virtuální instance serveru SQL s názvem Sqlcluster s dvěma uzly: uzel A a B. uzlu
  • Uzel A je ověřen řadičem domény A a B uzel je ověřen řadičem domény B.


Může nastat následující:
  1. Sqlcluster instance je v uzlu A aktivní a zaregistrována SPN SQL v řadiči domény A při spuštění nahoru...
  2. Sqlcluster instance selhání uzlu B při uzlu A obvykle je ukončena.
  3. Sqlcluster instance vlastnícím jeho SPN z řadiče domény A během procesu vypnutí uzlu A.
  4. Hlavní název služby odebrán z řadiče domény A ale změna dosud nebyla replikována na řadič domény B.
  5. Při spuštění v uzlu B, Sqlcluster instance se pokusí zaregistrovat hlavní název služby SQL s řadičem domény B. Od té doby, SPN stále existuje uzel B registruje název SPN.
  6. Po určité době replikuje řadič domény A odstranění SPN (z kroku 3) do řadiče domény B v rámci replikace služby Active Directory. Konečným výsledkem je, že neexistuje žádný platný název SPN pro instanci SQL Server v doméně a tím i problémy s připojením k instanci Sqlcluster.

Poznámka: Tento problém je opraven v SQL Server 2012.
Ověřte server prostředí
Zkontrolujte některá základní nastavení v počítači, kde je nainstalován SQL Server:
  1. Ověřování protokolem Kerberos není podporována v počítačích se systémem Windows 2000, které jsou spuštěny služby clusterů systému Windows, pokud jste nainstalovali Service Pack 3 (nebo novější) na systém Windows 2000. Proto jakýkoli pokus o ověřování rozhraní SSPI seskupený instance serveru SQL Server může selhat. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    235529 Podporu ověřování pomocí protokolu Kerberos v clusterech serverů se systémem Windows 2000
  2. Ověřte, že server se systémem Windows 2000 Service Pack 1 (SP1). Další informace o podporu ověřování protokolem Kerberos na serverech se systémem Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    267588 Při připojení k serveru SQL Server 2000, zobrazí se chybová zpráva "Nelze vytvořit kontext SSPI."
  3. V clusteru Pokud účet použitý ke spuštění serveru SQL Server, SQL Server Agent nebo fulltextové vyhledávání služeb, změny, jako je například nové heslo, postupujte kroky, které jsou k dispozici v následujícím článku znalostní báze Microsoft Knowledge Base:
    239885 Jak změnit účty služeb pro počítač clusteru, který je spuštěn SQL Server
  4. Ověřte, že účet, který se používá ke spuštění SQL Server má příslušná oprávnění. Pokud používáte účet, který není členem místní skupiny Administrators, naleznete v tématu "Nastavení systému Windows služby účty" v SQL Server Books Online pro podrobný seznam oprávnění, která tento účet musí mít:
    http://msdn2.microsoft.com/en-us/library/aa176564 (SQL.80).aspx
Ověřit klienta prostředí
Ověřte následující skutečnosti na straně klienta:
  1. Ujistěte se, že zprostředkovatel podpory zabezpečení NTLM je správně nainstalována a zapnuta. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    269541 Chybová zpráva při připojení k serveru SQL Server, pokud chybí klíč registru systému Windows NT LM Security Support Provider: "nelze vytvořit kontext SSPI."
  2. Určete, zda používáte pověření uložená v mezipaměti. Pokud klientovi jste přihlášeni pomocí pověření uložených v mezipaměti, odhlaste se od počítače a přihlaste zpět Pokud se můžete připojit k řadiči domény zabránit používá pověření uložená v mezipaměti. Další informace o tom, jak zjistit, zda se používá pověření uložená v mezipaměti klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    242536 Uživatel není upozorněni při přihlášení k doméně pověření uložených v mezipaměti.
  3. Ověření platnosti dat na klienta a serveru. Pokud jsou data příliš daleko od sebe, vaše certifikáty lze považovat neplatný.
  4. SSPI používá soubor s názvem Security.dll. Pokud jiná aplikace nainstaluje soubor, který používá tento název, lze použít jiný soubor místo skutečného souboru rozhraní SSPI. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    253577 Chyba: 80004005 - MS ODBC SQL Server driver Balíček SSPI nelze inicializovat.
  5. Je-li operační systém v počítači klienta Microsoft Windows98, je nutné nainstalovat klienta pro součást Microsoft Networks v klientském počítači. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    267550 Chyba: "Chyba při vyhodnocení" při připojení k serveru SQL Server pomocí protokolu TCP/IP
Zkontrolujte nástroj client network utility
Client Network Utility (CNU) je dodán s Microsoft Data Access Components (MDAC) a slouží ke konfiguraci připojení k počítači se systémem SQL Server. MDAC Cliconfg.exe CNU nástroj slouží ke konfiguraci spojení:
  1. Na kartě Obecné aredefined protokoly způsob se liší podle verze součástí MDAC. Dřívějších verzí součástí MDAC můžete vybrat protokol "Výchozí". Nejnovější verze součástí MDAC, můžete canenable s jednou v horní části seznamu jeden nebo více protokolů při connectto serveru SQL Server. Vzhledem k tomu, že rozhraní SSPI se vztahuje pouze na protokolu TCP/IP, můžete zabránit chybě, differentprotocol, například protokol Named Pipes.
  2. Zkontrolujte kartu Alias v CNU Chcete-li ověřit, že je definován alias pro server, který se pokoušíte připojit. Pokud je definován alias serveru, zkontrolujte nastavení pro konfiguraci tohoto počítače pro připojení k serveru SQL Server. To lze ověřit odstraněním aliasu serveru zobrazíte, zda chování mění.
  3. Pokud alias server není definována v CNU, přidáte alias pro server, ke kterému se připojujete. Při této operaci jsou také explicitně definování protokolu a volitelně určení adresy IP a portu.
Ručně nastavte hlavní název služby pro SQL Server
Další informace o tom, jak ručně nastavit hlavní název služby pro SQL Server klepněte na následující číslo článku databáze Microsoft Knowledge Base:
319723 Použití ověřování pomocí protokolu Kerberos na serveru SQL Server
Security Support Provider Interface (SSPI) je rozhraní pro zabezpečení systému Microsoft Windows NT, který se používá pro ověřování pomocí protokolu Kerberos a podporuje systém ověřování NTLM Security Support Provider. Při přihlášení k doméně systému Windows, dojde k ověření na úrovni operačního systému. Ověřování pomocí protokolu Kerberos je k dispozici pouze v počítačích se systémem Windows 2000, pomocí služby Active Directory, které mají povoleno ověřování pomocí protokolu Kerberos.

Rozhraní SSPI se používá pouze pro připojení TCP/IP, které jsou provedeny pomocí ověřování systému Windows. Ověřování systému Windows je známé také jako důvěryhodné připojení a integrované zabezpečení. SSPI není používán víceprotokolové připojení nebo pojmenované kanály. Proto se můžete vyhnout problém tím, že klienti pro připojení pomocí protokolu, než je protokol TCP/IP.

Pokud klient serveru SQL Server se pokusí použít integrované zabezpečení prostřednictvím soketů TCP/IP ke vzdálenému počítači se systémem SQL Server, síťové knihovny klienta serveru SQL Server používá rozhraní API rozhraní SSPI zabezpečení delegování provádět. Síťového klienta serveru SQL Server (Dbnetlib.dll) volání funkce AcquireCredentialsHandle a předá v "negotiate" pro parametr pszPackage . To upozorní podkladové zprostředkovatele zabezpečení provádět delegování vyjednávat. V této souvislosti dohodnout znamená zkuste ověřování pomocí protokolu Kerberos nebo NTLM v počítačích se systémem Windows. Jinými slovy systém Windows použít delegování s protokolem Kerberos cílového počítače, který je spuštěn SQL Server má přidružené, správně nakonfigurovaný název SPN. Jinak Windows použít delegování ověřování NTLM.

Poznámka: Ověřte, že nepoužíváte účet s názvem "Systém" spuštění služeb serveru SQL Server (MSSQLServer, SQLServerAgent, MSSearch). Klíčové slovo systému může způsobit konflikty Centrum distribuce klíčů (KDC).
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Shromáždit informace k otevření případu podpory zákazníků společnosti Microsoft (CSS)

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Pokud nelze získat příčinu problému pomocí kroků popsaných v tomto článku, shromážděte následující informace a otevřít případ podpory zákazníků společnosti Microsoft (CSS).

Úplný seznam telefonních čísel podpory zákazníků společnosti Microsoft a informace o cenách technické podpory naleznete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=support
  1. Generujte sestavu sqldiag ze serveru SQL Server. Další informace naleznete v tématu "sqldiag nástroj" v SQL Server BooksOnline.
  2. Zachyťte snímek obrazovky chyby na straně klienta.
  3. Otevřete příkazový řádek na uzlu, který se nemůže připojit k serveru SQL Server a potom zadejte následující příkaz:
    net start > started.txt
    Tento příkaz vytvoří soubor s názvem Started.txt v adresáři kde spustíte příkaz.
  4. Uložte hodnoty klíče registru pod následujícím klíčem registru v klientském počítači:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER\CLIENT\CONNECTTO
  5. V prostředí clusteru najděte hodnotu následující klíč registru pro každý uzel clusteru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  6. V prostředí clusteru naleznete, zda existuje následující klíč registru v každém uzlu clusteru serveru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLMSsp
  7. Výsledky zachyťte z klienta v případě, že připojení k serveru SQL Server pomocí aUniversal Naming Convention (UNC) název (nebo název SQL sítě v clusteru).
  8. Výsledky zachyťte Pokud ping název počítače (nebo síťový název SQL v clusteru) z klienta.
  9. Uložte název uživatelské účty, které se používá ke spuštění služeb serveru SQL Server (MSSQLServer, SQLServerAgent, MSSearch) každé z nich.
  10. Pracovník podpory musí vědět, zda SQL Server je nakonfigurován pro ověřování smíšené nebo pouze ověřování systému Windows.
  11. Zobrazit, zda je možné připojit k počítači se systémem SQL Server ze stejného klienta pomocí ověřování serveru SQL Server.
  12. Zobrazit, zda je možné připojit pomocí protokolu Named Pipes.

Odkazy

Další informace o jak ověřování pomocí protokolu Kerberos a funkcí zabezpečení rozhraní SSPI, klepněte na následující čísla článku databáze Microsoft Knowledge Base:
266080 Odpovědi na často kladené otázky pro ověřování pomocí protokolu Kerberos
231789 Místní přihlášení v systému Windows 2000
304161 Vzájemné ověřování rozhraní SSPI je uvedena na straně klienta, ale ne na straně serveru
232179 Správa protokolu Kerberos v systému Windows 2000
230476 Popis běžných chyb souvisejících s protokolem Kerberos v systému Windows 2000
262177 Jak povolit protokolování událostí protokolu Kerberos
277658 Setspn se nezdaří, pokud název domény se liší od názvu NetBIOS, pokud SQL Server SPN zaregistrován
244474 Jak vynutit použití ověřování pomocí protokolu Kerberos použití protokolu TCP místo protokolu UDP v systému Windows Server 2003, Windows XP a Windows 2000
Chcete-li zobrazit dokument white paper o zabezpečení serveru Microsoft SQL Server 2000, přejděte na následující web společnosti Microsoft:
http://technet.microsoft.com/en-us/cc984178.aspx
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Vlastnosti

ID článku: 811889 - Poslední aktualizace: 10. října 2013 - Revize: 26.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Enterprise Evaluation
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Express with Advanced Services
  • Microsoft SQL Server 2008 R2 Integration Services
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Standard Edition for Small Business
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2008 Reporting Services
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Standard Edition for Small Business
  • Microsoft SQL Server 2008 Web
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
  • SQL Server 2012 Enterprise Core
Klíčová slova: 
kbsqlsetup kbhowtomaster kbhowto kbsmbportal kbmt KB811889 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 811889

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com